Een recent ontdekte kritieke kwetsbaarheid met de codering CVE-2026-27944 in Nginx UI (alle versies voor 2.3.2) vormt een ernstig veiligheidsrisico voor gebruikers. Deze kwetsbaarheid heeft een CVSS score van 9.8 en wordt gekenmerkt door twee grote problemen.

Het eerste probleem is dat het /api/backup eindpunt geen authenticatie vereist, waardoor onbevoegde gebruikers toegang kunnen krijgen tot gevoelige informatie. Daarnaast blijkt dat de AES-256 encryptiesleutel en de Initialisatie Vector (IV) onversleuteld worden verstuurd in de X-Backup-Security HTTP response header, wat de beveiliging verder compromitteert.

Hierdoor kan een aanvaller zonder inloggegevens een GET-verzoek sturen naar /api/backup, de versleutelde ZIP downloaden en deze eenvoudig ontsleutelen. De buitgemaakte gegevens in de backup zijn zeer vertrouwelijk, waaronder database.db met gebruikersgegevens, app.ini configuratiebestanden, SSL-certificaten, private keys en Nginx configuratiebestanden.

Het gevaar wordt nog groter door de al beschikbare publieke proof-of-concept exploit script in Python, waardoor ook minder technisch onderlegde kwaadwillenden de kwetsbaarheid kunnen uitbuiten.

De aanbevolen actie om deze kwetsbaarheid te verhelpen is door te upgraden naar Nginx UI versie 2.3.3. Als tijdelijke maatregel wordt geadviseerd om het /api/backup eindpunt te blokkeren via de firewall en de toegang tot beheerinterfaces te beperken tot het interne netwerk. Het is essentieel dat gebruikers onmiddellijk actie ondernemen om het risico op gegevensinbreuken te minimaliseren.